+49 99 21 / 88 22 9000 info@datenbeschuetzerin.de

Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Baden-Württemberg hat Anfang 2019 ein Papier veröffentlicht mit Tipps und Informationen für starke Passwörter.

Dieses Thema betrifft aber nicht nur den Anwender, sondern auch die Entwickler. Diese müssen auf Seiten der Anwendung sicherstellen, dass den Anmeldeinformationen ein höchstmöglicher Schutz gewährt wird.

Nachfolgende Empfehlungen gibt der Landesbeauftragte für den Datenschutz und die Informationsfreiheit zum Thema starke Passwörter.

Rechtliche Grundlagen für Verantwortliche von Plattformen und Anwendungen

Die sichere Authentifizierung basiert rechtlich u.a. auf Artikel 32 DSGVO. Es geht darum, die Vertraulichkeit, Integrität und Verfügbarkeit der Daten, Systeme und Dienste entsprechen sicherzustellen.

Empfehlungen für Anwender zur Wahl sicherer und starker Passwörter

Starke Passwörter

  • Mindestens 12 oder mehr Zeichen
  • Länger proportional zur Wichtigkeit des Passwortes
  • Klein- und Großbuchstaben
  • Ziffern
  • Satz- oder Sonderzeichen (Sonderzeichen soweit sie auf allen gängigen Tastaturen vorhanden sind)

Passwort nur einmal verwenden

Vermeiden Sie es, Passwörter und ganze Anmeldeinformationen für verschiedene Anwendungen mehrmals zu verwenden. Ein gehackter Account bei Plattform A, würde dazu führen, dass auch Ihre Anmeldedaten auf Plattform B kompromittiert sind.

Ob Ihre E-mail Adresse gehackt wurde (bei bekannt gewordenen Angriffen), können Sie prüfen unter:

Nutzen Sie einen Passwort-Safe

Damit Sie sich nicht alle Ihre Passwörter merken müssen und diese auch nicht aufschreiben müssen, gibt es Passwort-Safes. Ein Passwort-Safe funktioniert ähnlich einem physikalischen Tresor. Ein Schlüssel oder ein geheimer Code sichern alles ab, was im Passwort-Safe liegt. Damit die Passwörter sicher sind, müssen Sie natürlich ein sehr sicheres Masterpasswort wählen.

Keine Passwörter aus Wörterbüchern verwenden

Da bekannte Wörter schon vorher „übersetzt“ also gehackt wurden, würde ein Angriff in Sekundenbruchteilen erfolgreich sein. Selbst, wenn Sie ein langes Passwort wählen. Nutzen Sie also, wie oben erwähnt kryptische Passwörter.

Passwörter nicht permanent ändern

Inzwischen geht man weg davon, die Passwörter in relativ kurzen Abständen zu ändern. Auch große Unternehmen wie Microsoft haben das öffentlich bekannt gegeben.

Die regelmäßige Änderung führt häufig dazu, dass die Passwörter notiert werden. Damit ist der Sicherheit selbst bei starken Passwörtern nicht mehr gegeben.

Daher ist die Empfehlung, die Passwörter seltener zu ändern und natürlich auf jeden Fall bei bekannt gewordenen Angriffen.

Starke Passwörter auf Smartphones

Vier stellige PINs auf Passwörtern sind zu schwach. Verwenden Sie auch auf Smartphones und Tablets starke Passwörter.

Standard-Passwörter ändern

Viele Geräte haben einen Standardzugang mit öffentlich bekannten Anmeldedaten. Ändern Sie bei solchen IoT Geräten diese Standard-Zugangsdaten. Damit vermeiden Sie den Zugriff unbefugter Personen auf Ihre Geräte.

Sicherheitsfragen nicht ehrlich beantworten

Ein interessanter Punkt, der hier gelistet ist. Da die Sicherheitsfragen trivial sind, ist es auch für Angreifer einfach, sie zu beantworten. Daher ist es von Vorteil, wenn Sie nicht die richtigen Antworten eingeben.

Zwei-Faktor-Authentifizierung

Wenn der Dienst diesen Service bietet können Sie starke Passwörter mit einer 2-Faktor-Authentifizierung kombinieren. Nach dem Prinzip wissen und besitzen wird die Sicherheit erhöht.

Hinweise für Administratoren und Entwickler

Waren oben genannte Punkte aus Sicht der Anwender hilfreich, folgen nun die Punkte, die Sie intern im Unternehmen umsetzen sollten.

Passwort-Richtlinie

Regeln Sie für das gesamte Unternehmen, wie starke Passwörter aussehen müssen. Soweit möglich erzwingen Sie technisch die Einhaltung dieser Regel. Für die organisatorische Umsetzung empfehlen wir eine IT-Sicherheitsrichtlinie (Link zu unserer Vorlage).

Keine erzwungene Änderung

Folgen Sie der Empfehlung des britischen National Cyber Security Centre und erzwingen Sie keine regelmäßige Passwortänderung.

Sperrung nach fehlerhafter Anmeldung

Verschlüsselte Speicherung der Passwörter

Wurden die Zugangsdaten zu einem Account mehrmals fehlerhaft eingegeben, sollte der Zugang gesperrt werden. Alternativ können Sie die Sperre auch temporär steuern. Das heißt nach x Minuten ist der Zugang wieder frei.

Verschlüsseln Sie die User-Passwörter, wenn Sie diese speichern. Die Speicherung unverschlüsselter Passwörter hat bereits zu einem Bußgeld geführt.

Sichere Speicherung

Stellen Sie sicher, dass der Zugriff auf die Passwort-Datenbanken restriktiv ist. Nur ausgewählte Mitarbeiter dürfen Zugriff auf die Datenbank haben, selbst wenn die Passwörter verschlüsselt sind.

Zwei-Faktor-Authentifizierung

Wenn möglich und sinnvoll prüfen und implementieren Sie eine Zwei-Faktor-Authentifizierung. Verwenden Sie dazu etablierte Standards.

Änderung vorgegebener Passwörter bei der ersten Anmeldung

Erzwingen Sie die Änderung voreingestellter Passwörter beim ersten Login.

Protokollieren Sie fehlerhafte Anmeldeversuche

Um evtl. Auffälligkeiten erfassen zu können, sollten Sie fehlerhafte Anmeldeversuche protokollieren. Wichtig ist auch ein regelmäßiges Monitoring bzw. die Analyse dieser Protokolle.

Keine fremden Passwörter sammeln

Wenn die Anmeldung an einem System über einen Drittanbieter oder ein drittes System erfolgt, dürfen die Passwörter trotzdem nicht gesammelt werden. Nutzen Sie für diese Anmeldung bekannte technischen Standards zum SingleSignOn.

Quelle

Diesen Beitrag teilen